Analisis Manajemen Risiko Teknologi Informasi Policy Service PT. Asuransi Sinar Mas Menggunakan Framework COBIT 5

(1)

466 Jurnal Teknik Informatika dan Sistem Informasi ISSN 2407-4322 Vol. 7, No. 3, Desember 2020, Hal. 466-479 E-ISSN 2503-2933

Analisis Manajemen Risiko Teknologi Informasi

Policy Service PT. Asuransi Sinar Mas

Menggunakan Framework COBIT 5

Marco Putra Wibawa1, Augie David Manuputty2 1,2

Universitas Kristen Satya Wacana; Jl. Diponegoro No.52-60, Salatiga, Kec.Sidorejo, Kota Salatiga, Jawa Tengah 50711, (0298) 321212

Jurusan Sistem Informasi, FTI UKSW, Salatiga

e-mail: [email protected], [email protected] Abstrak

Penelitian ini dilakukan bertujuan untuk mengetahui kondisi penerapan manajemen risiko dan mengidentifikasi ancaman risiko terhadap proses bisnis di PT. Asuransi Sinar Mas. Hal ini dikarenakan untuk analisis manajemen risiko sudah menjadi hal yan patut diperhitungkan oleh suatu perusahaan dalam meningkatkan keuntungan dan asset perusahaan yang akan selalu menjadi bagian penting dalam suatu perusahaan. Untuk mengetahui seberapa pengaruh manajemen risiko bagi Divisi Policy Service di PT. Asuransi Sinar Mas, maka perlu dilakukan pengujian terhadap kondisi penerapan manajemen risiko yang sudah berjalan pada perusahaan tersebut. Penelitian ini penulis menggunakan metode Mix Method, untuk pengumpulan data penulis menggunakan metode kuantitatif yang disebarkan kepada 18 responden. Kemudian untuk melengkapi data Kuantitatif tersebut penulis juga melakukan wawancara terhadap Kepala Departemen Divisi Policy Service. Pada tahap mendapatkan nilai capability level penulis menggunakan framework COBIT 5. Dalam framework COBIT 5 penulis menggunakan 2 subdomain yaitu APO12 dan MEA01. Pada subdomain APO12 memiliki 6 karakter nilai yang berbeda beda sedangkan untuk MEA01 mendapatkan nilai 3,78 yang memiliki gap 1,22 dari nilai yang diharapkan perusahaan. Walupun dari nilai yang didapat sudah cukup baik, namun akan lebih baik apa bila dilakukan pengingkatan dalam analisis manajemen risiko pada perusahaan agar dapat mempertahankan posisi perusahaan dan bersaing dengan perusahaan lain yang memiliki kesamaan dalam bidang jasa.

Kata kunci—Analisis Manajemen Risiko, Analisis Risiko, Manajemen Risiko, framework COBIT 5

Abstract

This study was conducted with the aim to determine the conditions of the application of risk management and identification of risk threats to business processes at PT. Asuransi Sinar Mas. This is because the analysis of risk management is something that should be taken into account by a company in increasing profits and company assets that will always be an important part in a company. To find out the influence of risk management for the Policy Service Division at PT. Asuransi Sinar Mas, it is necessary to test the conditions of the implementation of risk management that has been running at the company. In this study the researchers used the Mixed Method, for data collection the researchers used a quantitative method that was distributed to 18 respondents. Then to complete the quantitative data, the researchers also conducted an interview with the Head of the Policy Service Division. At the stage of obtaining capability level values, the researchers used the COBIT 5 framework. In the COBIT 5 framework, 2 subdomains, namely APO12 and MEA01 were used. APO12 subdomain had 6 characters with different values, while MEA01 acquired 3.78 which has a gap of 1.22

(2)

Jatisi ISSN 2407-4322 Vol. 7, No. 3, Desember 2020, Hal. 466-479 E- ISSN 2503-2933 467

Wibawa, et al., [Analisis Manajemen Risiko Teknologi Informasi Policy Service PT. Asuransi Sinar Mas

from the expected value of the company. Although the value obtained is good enough, it would be better if an increase in risk management analysis is carried out in the company in order to maintain the company’s position and compete with other companies that have similarities in the service sector.

Keywords—Risk Management Analysis, Risk Analysis, Risk Management, COBIT 5 framework

1. PENDAHULUAN

Teknologi Informasi pada saat ini menjadi asset utama pada sebuah organisasi, sehingga ancaman risiko akan selalu ada. Melihat ancaman risiko dapat terjadi kapanpun maka manajemen atau mengelola risiko adalah cara yang tepat untuk meminimalisir potensi kerugian yang akan terjadi. Sebuah organisasi harus dapat memaksimalkan teknologi informasi, diharapkan mampu menunjang otomatisasi proses bisnis serta mencapai tujuan organisasi. Teknologi dapat dimaksimalkan dengan beberapa aspek seperti hardware, software dan networks. Organisasi yang sudah berjalan, menggunakan kerangka kerja seperti ISO, COBIT, COSO, ITIL. Peneletian ini menggunakan kerangka kerja COBIT 5 (Control Objectives for Information and Related Technology) di dalam kerangka kerja ini akan mendapatkan penilaian

seberapa besar pengaruh teknologi informasi dalam sebuah organisasi. PT. Asuransi Sinar Mas (ASM) merupakan salah satu perusahaan asuransi umum terbesar

di Indonesia. Sepanjang perjalanannya, ASM menunjukkan pertumbuhan yang berkesinambungan. Premi bruto dan total asset perusahaan secara konsisten meningkat dari tahun ke tahun, termasuk di tahun-tahun dimana terjadi goncangan ekonomi global. Proses produksi maupun bisnis, menjadikan teknologi dan sistem sebagai alat penunjang bisnis maupun produksi yang ada di Asuransi Sinar Mas. Berbagai macam produk yang dimiliki ASM yaitu asuransi Marine, asuransi Fire yang dimana menjamin (Rumah, isi rumah dan bangunan), asuransi Medicare (asuransi kesehatan pribadi, karyawan), asuransi Kendaraan Bermotor, asuransi Tanggung Gugat dan Aneka. Mengacu dari produk yang disebutkan di atas, terdapat beberapa produk di Divisi Policy Service, yang memilki tugas mengolah data perjanjian antara tertanggung (Customer) dan penanggung (Pihak Asuransi), menjadi sebuah Policy dengan menggunakan Aplikasi bernama PEGA yang sudah memiliki lisensi. Kendala yang terjadi di dalam PT. Asuransi Sinar Mas seperti, menggunakan aplikasi berbasis WEB ini masih sering ditemukan kendala seperti system error dari sisi inputor, bug dalam sistem, server down. Disisi lain sebagai alat utama terdapat Hardware dan Network yang sudah tidak memenuhi kebutuhan untuk menunjang proses bisnis PT. Asuransi Sinar Mas. Penelitian ini, menggunakan kerangka kerja COBIT 5 dengan harapan, agar dapat memberikan rekomendasi dalam melakukan analisis risiko, yang dapat digunakan sebagai panduan, efektifitas & efisiensi proses bisnis sehingga dapat mencapai tujuan perusahaan Asuransi Sinar Mas. Pokok permasalahan pada penelitian ini adalah menganalisis ancamaan risiko menggunakan framework COBIT 5 dan bagaimana menganalisis serta melaporkan kinerja. Maka, dari pokok permasalahan tersebut penulis memilih framework COBIT 5, karena COBIT 5 merupakan suatu tools yang dapat mengukur sebuah risiko dan menilai bagaimana sebuah organisasi dalam mengatur risiko. Penelitian ini, menggunakan 2 Domain yaitu Align, Plan and Organise (APO12) dan domain Monitor, evaluate and assess (MEA01) pada 2 domain ini yang di dasarkan pada visi dan misi PT.Asuransi Sinar Mas dan dengan 2 domain tersebut yang berhubungan dengan tata kelola dan manajemen teknologi informasi, sehingga penulis menggunakan 2 domain tersebut untuk melakukan penelitian. Dari proses analisa, selama melakukan riset data dan penerjemahan visi dan misi dari PT. Asuransi Sinar Mas maka judul penelitian yang diangkat adalah “Analisis

(3)

Manajemen Risiko Teknologi Informasi pada bagian Policy Service di PT. Asuransi Sinar Mas Menggunakan Framework COBIT 5”.

2. METODE PENELITIAN 2.1 Penelitian Terdahulu

Terdapat beberapa penelitian yang pernah dilakukan mengenai analisis manajemen risiko teknologi informasi dengan menggunakan COBIT 5.0. Penelitian – penelitian tersebut menjadi landasan atau acuan bagi penulis dalam melakukan penelitian ini. Adapun penelitian – penelitian terdahulu itu antara lain:

Analisis Manajemen Risiko Teknologi Informasi menggunakan COBIT 5 (Studi kasus: PT GLOBAL INFOTECH), penelitian ini di dapati level kematangan pada proses APO12 adalah level 1 (Performed Process) yang berarti proses untuk mencapai tujuan bisnisnya perlu di implementasikan. walaupun masih ada beberapa gap dan mencapai level kematangan 2 dari yang diharapakan di PT GLOBAL INFO TECH. (Prilly Peshaulia Thenu, dkk. 2019) [8]. Mengacu pada penelitian yang disusun oleh Prilly Peshaulia Thenu, mendapatkan refrensi mengenai alur yang dilakukan dalam mengolah proses domain APO12 dan dalam mengukur capability level.

Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan COBIT 5 IT Risk (Studi Kasus: PT. Petrokimia Gresik) penelitian ini di dapati level kematangan pada proses APO12 adalah level 3 yang dimana masih ada gap dari yang diharapkan di PT. Petrokimia Gresik [9] (Nurfitri Zukhrufatul Firdaus, dkk, 2018). Evaluasi dalam penelitian tersebut menggunakan capability level dan analisis gap, sehingga mendapatkan hasil nilai dari capability level saat ini dan rekomendasi untuk perbaikan evaluasi manajemen risiko. Mengacu pada penelitian Nurfitri Zukhrufatul Firdaus menggunakan analisis kesenjangan dan domain APO12, penelitian di atas dapat dijadikan acuan dalam perbaikan proses penerapan manajemen risiko.

Audit Tata Kelola Teknologi Informasi menggunakan framework COBIT 5 (Studi Kasus: Balai Besar Perikanan Budidaya Laut) penelitian ini menggunakan beberapa domain APO, BAI, DSS, EDM, MEA dan dari masing masing domain memiliki nilai rata – rata 2,8 dari rentang nilai 0 sampai 5. Balai Besar Perikanan Budidaya Laut Lampung telah melakukan proses pengamanan dan baku atau sudah mengikuti standar yang ada [7] (Suryono, Ryan Randy, 2018). Audit tata kelola teknologi informasi, mengacu pada penelitian Ryan Randy Suryono dan kawan kawan menggunakan analisis kesenjangan dan domain APO12 dan MEA01 sehingga dapat dijadikan referensi mengenai alur, proses analisis data yang dilakukan.

2. 2 Landasan Teori 2. 2.1 Risiko

Risiko suatu kondisi yang timbul karena ketidakpastian dengan seluruh konsekuensi tidak menguntungkan yang mungkin terjadi. Menurut (Prof Dr Ir. Soemarmo M.S, 2019) [1] kemudian menurut [Bramantyo 2008] risiko bisa diartikan ketidakpastian yang telah diketahui tingkat probabilitas kejadiannya. Risiko juga dapat diartikan penyebaran atau penyimpangan dari target, sasaran atau harapan [2].

2. 2.2 Manajemen Risiko

Teknologi Informasi Manajemen risiko adalah suatu proses identifikasi, mengukur risiko, serta membentuk strartegi untuk mengelolanya melalui sumber daya yang tersedia. Menurut (Wiliam et.al, 1995) Pengertian Manajemen Risiko menurut William et.al adalah suatu aplikasi dari manajemen umum yang mencoba untuk mengidentifikasi, mengukur dan menangani sebab dan akibat dari ketidakpastian pada sebuah organisasi [3].

(4)

2. 2.3 Policy Service

Policy Service yang dikenal sebagai proses penerbitan policy yang ada di PT. Asuransi Sinar Mas, Policy Service sendiri adalah bagian dari salah satu divisi yang ada di Sinar Mas. Di divisi tersebut, yang setiap harinya memproses Policy yang akan di terbitkan Asuransi Sinar Mas yang dimana sudah terjalin kesepakatan antara nasabah dan Asuransi Sinar Mas. Sinar Mas sendiri dalam memproses Policy yang akan diterbitkan menggunakan aplikasi berlisensi yaitu PEGA. PEGA adalah suatu aplikasi utama yang digunakan karyawan untuk melakukan proses bisnis.

2. 2.4 COBIT (Control Objectives for Information and Related Technology)

COBIT pertama kali diterbitkan pada tahun 1996, kemudian diterbitkan kembali pada tahun 1998. Pada tahun 2000 dirilis COBIT 3.0 dan COBIT 4.0 dirilis pada tahun 2005 dan saat ini terakir dirilis COBIT 5.0 dirilis pada tahun 2012.COBIT 5 merupakan penyempurnaan dari COBIT 4.1 yang dimana terjadi penambahan domain dari 4 domain pada 4.1 menjadi 5 domain dan terjadi perubahan pada prinsip pemberian nilai maturity, pada COBIT 4.1 organisasi hanya diharuskan memenuhi minimal satu syarat dalam satu kuadran untuk melanjutkan ke kuadran selanjutnya, sedangkan pada COBIT 5 organisasi harus memenuhi semua persyaratan untuk melanjutkan ke kuadran selanjutnya. Pada edisi ke empat COBIT framework terdiri dari 34 high level control objectives dan kemudian mengelompokkan menjadi 4 domain, keempat domain tersebut antara lain: Plannig and Organization (Perancangan Organisasi. Mencakup strategi, taktik dan identifikasi), Acquisition and Implementation (Untuk merealisasikan strategi TI, perlu dilakukan pengidentifikasian, pengembangan dan perolehan solusi TI, sesuai dengan yang akan diimplementasikan dan diintegrasikan ke dalam proses bisnis.), Delivery and Support (Domain ini fokus terhadap penyampaian jasa yang sesungguhnya diperlukan, termasuk penyediaan layanan, manajemen keamanan dan kontinuitasnya, jasa dukungan kepada user dan manajemen data dan fasilitas operasi), dan Monitoring and Evaluation (Domain ini berfokus kepada pengawasan pada proses pengawasan pengelolaan TI pada organisasi serta harus di awasi dan dinilai kelayakannya secara berkala.) (ISACA, 2012) [4]

2.3 Metodologi Penelitian

Objek yang akan di gunakan sebagai penelitian, dengan melakukan tinjauan pada PT. Asuransi Sinar Mas yang berada di Kantor Pusat yang beralamat di Jl. Fachrudin No.18, Tanah Abang, Jakarta Pusat, DKI. Jakarta. Penelitian yang dilakukan menggunakan Framework COBIT 5 dan menggunakan 2 domain, dari 2 domain tersebut lebih terfokus ke sub domain yaitu domain Align, Plan and Organise (APO12) dan domain Monitor, evaluate and assess (MEA01). Pada domain tersebut mencakup manajemen risiko, bagaimana menilik TI sudah dapat berjalan dengan maksimal, dapat menunjang dan berkontribusi dalam mencapai tujuan bisnis. Framework COBIT 5, sebegai alat untuk menganalisa masalah yang terjadi dan memberikan rekomendasi pada penerapan teknologi informasi pada saat ini. Di sisi lain diharapkan agar dapat mencapai apa yang menjadi goals perusahaan, perlu disusun, dikoordinasikan dan dikelola dengan terstruktur sehingga dapat mencapai tujuan tersebut. Proses pengambilan data menggunakan Mix methods, yaitu suatu langkah penelitian dengan menggabungkan dua bentuk pendekatan dalam penelitian, yaitu kualitatif dan kuantitatif. Penelitian campuran merupakan pendekatan penelitian yang mengkombinasikan antara penelitian kualitatif dengan penelitian kuantitatif [5] (Creswell, 2010). Sehingga dari berbagai definisi ahli di atas dapat disimpulkan bahwa Mix-method penelitian adalah penelitian yang memadukan atau mengkombinasikan pendekatan penelitian kualitatif dan kuantitatif. Proses pengambilan data dasar menggunakan kuisioner dan untuk melengkapi data menggunakan pendekatan wawancara. Memiliki tujuan untuk mengulik kejadian, keadaan dan fakta lapangan yang terjadi dalam kondisi perusahaan saat ini.

(5)

2. 3.1 Tahap Penelitian

Berikut alur penelitian yang dapat dijelaskan:

Gambar 1. Alur Penelitian

Pada tahapan pertama, melakukan studi literatur dengan melakukan berbagai pengumpulan bahan literatur dan informasi berkaitan dengan judul penelitian. Mencari informasi melalui karya ilmiah, tesis, buku, internet, jurnal dan skripsi. Masuk tahap kedua identifikasi masalah, menentukan apa yang akan diangkat dalam penelitian ini yang berkaitan dengan analisis manajemen risiko teknologi informasi di perusahaan. Berdasarkan literatur dan informasi yang sudah dikumpulkan, dalam tahapan ketiga, menentukan data-data apa saja yang dibutuhkan berdasarkan populasi, sampel dan cara pengambilan sampel. Di tahapan keempat, menentukan subjek penelitian dan respondennya. Dalam melakukan pengambilan data primer sendiri, penulis menyebarkan kuisioner kepada subjek sample yang menggunakan teknologi informasi. Sedangkan dalam pengambilan data sekunder, penulis membaca dokumen sebelumnya seperti penelitian terdahulu, seperti bentuk jurnal yang dimiliki perusahaan lain. Setelah mengumpulkan data, di tahap kelima akan dilakukan analisis terhadap data yang sudah dikumpulkan dan selanjutnya di proses menggunakan framework COBIT 5. Untuk mendapatkan Capability level, Gap Analysis dan analysis SWOT. Langkah selanjutnya kesimpulan: Tahapan Keenam, setelah mendapatkan hasil proses olah data, sehingga akan menghasilkan kesimpulan dan rekomendasi kepada perusahaan dan peneliti yang lain.

(6)

3. HASIL DAN PEMBAHASAN 3.1 Identifikasi Proses Domain COBIT 5

Mengukur tingkat kematangan dalam Manajemen Risiko di PT. Asuransi Sinar Mas, berdasarkan pengambilan data yang di lakukan melalui penyebaran kuesioner kepada Kepala Departemen, karyawan Divisi Policy Service dan Team IT, langkah pertama dalam menentukan tujuan bisnis dari PT. Asuransi Sinar Mas yang di dasarkan dari Visi dan Misi. Kemudian akan memetakan tujuan IT dari PT. Asuransi Sinar Mas sesuai dengan COBIT 5 menggunakan Dimensi Balance Scorcard (BSC). Visi yang tertera pada PT. Asuransi Sinar Mas: “Menjadi perusahaan asuransi professional dan terpercaya dengan memberikan nilai yang berarti kepada nasabah, perusahaan reasuransi, agen, rekanan, pemegang saham dan karyawan kami.” Guna mewujudkan visi tersebut maka dibentuklah sebuah misi dibawah berikut ini:

- Mengenal dan memenuhi kebutuhan nasabah - Hasil underwriting yang menguntungkan

- Mengembangkan bakat, meningkatkan produktivitas dan efisiensi karyawan - Inovasi produk dan pengembangan teknologi informasi yang berkesinambungan

Untuk mendasari penentuan tujuan bisnis PT. Asuransi Sinar Mas maka, dilakukan percakapan dengan Kepala Departmen Policy Service untuk mencari tahu fokus Asuransi Sinar Mas beberapa tahun terakir guna menentukan tujuan bisnis segingga dapat dilakukan pemetaan, percakapan dengan kepala departemen Policy Service beliau menyampaikan bahwa, “memang beberapa tahun terakir fokus kita pada misi point ke 4 yaitu, Inovasi produk dan pengembangan teknologi informasi yang berkesinambungan. maka dari itu fokus PT. Asuransi Sinar Mas sendiri, inovasi produk dilakukan untuk mengantisipasi ancaman dari pihak lain dan fokus pada pengembangan aplikasi utama PEGA, karena dengan PEGA dapat menambah efektifitas dalam proses bisnis sehingga dapat mencakup misi yang lain seperti memenuhi kebutuhan nasabah, meningkatkan produktifvitas dan efisiensi karyawan”. Berdasarkan percakapan diatas dengan kepala departemen Divisi Policy Service, Beliau menyampaikan bahwa konsentrasi Asuransi Sinar Mas pada saat ini, lebih mengarah kepada Inovasi produk dan pengembangan teknologi informasi yang berkesinambungan, sehingga terwujud adanya inovasi produk dan pengembangan aplikasi utama PEGA. Dengan harapan dapat mencakup misi yang lain seperti memenuhi kebutuhan nasabah, meningkatkan produktifvitas dan efisiensi karyawan. Mengacu dari petikan wawancara diatas maka, penentuan fokus utama dalam penelitian ini kearah misi point ke-4 PT. Asuransi Sinar Mas yaitu Inovasi produk dan pengembangan teknologi informasi yang berkesinambungan langkah pertama yang dilakukan mengacu kepada, alur framework COBIT 5 yaitu, Pemetaan tujuan bisnis ke dalam Enterprise Goals. Memadukan tujuan dari PT. Asuransi Sinar Mas dengan Enterprise goals seperti pada Tabel 1.

Tabel 1. Pemetaan Tujuan Bisnis PT. ASM Kedalam Enterprise Goals Tujuan Bisnis Inovasi Produk dan Pengembangan Teknologi Informasi

yang Berkesinambungan

No Tujuan Enterprise BSC Dimension Relationship 1 Managed business risk

(safeguarding of assets) Financial Primary 2 Bussiness service continuity

and availbillity Customer Primary

Setelah melakukan pemetaan tujuan bisnis ke dalam Enterprise Goals mendapatkan hasil 2 tujuan enterprise yaitu Managed business risk (safeguarding of assets) dan Bussiness service continuity and availbillity. Sehingga hasil dari pemetaan tujuan bisnis ke Enterprise Goals diatas dapat menentukan tujuan IT yg akan dicapai seperti Tabel 2.

(7)

Tabel 2. Pemetaan Enterprise Goals Kedalam IT-Goals

Untuk mendapatkan hasil proses yang akan digunakan maka, dipetakanlah IT-Goals kedalam Proses pemetaan dari tujuan enterprise kedalam tujuan IT sehingga dapat diambil satu tujuan IT pada setiap tujuan enterprise yang nantinya akan digunakan untuk menentukan domain yang akan diambil sebagai dasar untuk menganalisis manajemen risiko IT yang sudah dilakukan di divisi Policy Service di PT. Asuransi Sinar Mas, dan domain yang akan digunakan dalam menilai akan dipetakan dari tujuan IT tersebut sperti pada tabel 3.

Tabel 3. Pemetaan IT-Goals Kedalam Proses

IT Goals Domain Sub

Domain Aktifitas

Managed IT-related

business risk APO APO12

- Analisis Risiko yang mungkin muncul - Tanggapan atau respon risiko yang

sudah muncul

MEA MEA01 - Menganalisis serta melaporkan kinerja

3.2 RACI Chart

Dalam mendapatkan informasi yang diperlukan, penulis menyebarkan kuesioner kepada lingkup yang memiliki kesinambungan antara Kepala Departemen, Koordinator, Team IT, User di divisi Policy Service penelitian ini di dasarkan pada pemetaan RACI Chart. Dalam pemetaan RACI Chart berbeda-beda disesuaikan dengan subdomain atau aktivitas yang berlaku supaya didaparkan evaluasi setiap aktivitas yang ada. Pembagian RACI dibagi seperti berikut:

R = Pihak atau bagian yang menjalankan proses

A = pihak atau bagian yang bertanggung jawab pada proses C = pihak yang memberikan masukan terhadap proses yang ada I = pihak yang mendapatkan informasi tersebut

Penelitian RACI Chart berdasarkan kepada tanggungjawab terhadap proses tersebut dalam mengelola atau menggunakan Teknologi Informasi yang ada di bagian Policy Service sperti pada tabel 4.

Tabel 4. RACI APO12 dan MEA01. Keterangan

Project Team Members Kepala

Departemen Koordinator

User Policy Service IT

APO12.01 Collect data. C A R I

APO12.02 Analyse risk. I C R A

APO12.03 Maintain a risk profile. A I C R

APO12.04 Articulate risk. A R C I

APO12.05 Define a risk

management action portfolio. A R I C

APO12.06 Respond to risk. A R C I

Enterprise Goals No IT Goals BSC Dimension Relationship

Managed business risk (safeguarding of assets) 1

Managed IT-related

business risk Financial Primary Bussiness service

continuity and availbillity 2

Manage IT-Related

(8)

MEA01

MEA01 Menganalisis serta

melaporkan kinerja A C R I

3.3 Proses Domain COBIT 5

Untuk menjabarkan kondisi saat ini PT. Asuransi Sinar Mas khusus ya di divisi Policy Service maka dilakukan dengan proses pembagian atau menyebarkan kuisioner menggunakan subdomain APO12 dan MEA01 framework COBIT 5 dengan object penelitian Kepada Kepala Departemen, Karyawan yang bekerja di Divisi Policy Service. Dengan divisi dan tanggung jawab masing masing yang saling berkaitan dengan adanya proses di APO12 dan MEA01 untuk aplikasi utama PEGA, berikut deskripsi aktivitas Domain dan Sub Domain yang akan dijabarkan:

APO12.01 : - Collect Data APO12.02 : - Analyse risk

APO12.03 : - Maintain a risk profile APO12.04 : - Articulate risk

APO12.05 : - Defined a risk management action portfolio APO12.06 : - Respond to risk

MEA01 : - Menganalisis serta melaporkan kinerja 3.4 Capability Model

Capability Model memiliki proses yang dinyatakan dalam bentuk atribut proses yang dikelompokkan ke dalam tingkatan yang ditentukan berdasarkan pencapaian atribut proses tertentu [10]. Berikut penjelasan tiap levelnya:

- Level 0 Incomplete Process merupakan proses dalam tujuan prosesnya tidak terlaksana atau gagal mencapai tujuan prosesnya.

- Level 1 Performed Process merupakan proses yang mengimplementasikan untuk mencapai tujuan prosesnya.

- Level 2 Managed Process merupakan proses yang hasilnya ditetapkan, dikontrol dan juga diimplementasikan juga dikelola.

- Level 3 Established Process merupakan proses adanya dokumentasi dan memiliki hasil yang dikomunikasikan (untuk efisiensi organisasi)

- Level 4 Predictable Process merupakan proses yang dimonitor, kemudian diukur dan memprekdiksi untuk mencapai hasil.

- Level 5 Optimizing Process merupakan proses yang nantinya akan relevan dengan tujuan bisnis yang akan datang sehingga dapat diprediksikan kemudian ditingkatkan untuk memenuhi tujuan bisnis. [6]

3.5 Mengukur Capability Level: Analisis Tingkat Kematangan

Setelah melakukan wawancara dengan Kepala Deparetmen Divisi Policy Service, untuk keadaan saat ini, sudah pada level 4 (Predictable Process). Sedangkan perusahaan menginginkan keadaaan manajemen risiko seperti, dapat memprediksikan risiko dan proses yang relevan dengan tujuan bisnis yang akan datang kemudian dapat ditingkatkan untuk memenuhi tujuan bisnis. Menggunakan manajemen risiko dan proses yang umum apabila diperlukan, dengan pemantauan risiko keseluruhan organisasi, pengukuran dan pelaporan. Yang dimana sama dengan capability model COBIT 5, level 5 (Optimizing Process). Tingkat kematangan dilakukan guna untuk dapan mendeskripsikan proses analisis teknologi informasi pada divisi Policy Service di PT. Asuransi Sinar Mas. untuk mengukur tingkat kematangan dilakukan penyebaran kuesioner kepada Kepala Departemen, karyawan bagian Policy Service dan team IT menggunakan rumus perhitungan:

(9)

= ( )

=

3.6 Perhitungan Tingkat Kematangan dan Kesenjangan (Gap)

Setelah melakukan identifikasi proses bisnis dan melakukan penyebaran kuesioner kepada karyawan di divisi Policy Service, didapatkan hasil seperti tabel berikut:

Tabel 5. Hasil Pengukaran Tingkat Kematangan pada Bagian Policy Service

Aktivitas Kondisi Saat Ini Yang Diharapkan Kesenjangan

APO 12.01 4,11 5,00 0,89 APO 12.02 3,01 5,00 1,99 APO 12.03 3,01 5,00 1,99 APO 12.04 2,94 5,00 2,06 APO 12.05 3,52 5,00 1,48 APO 12.06 3,75 5,00 1,25 MEA 01 3,78 5,00 1,22

Berdasarkan hasil pengukaran tingkat kematangan pada bagian Policy Service, melalui penyebaran kuisioner diperoleh 18 responden karyawan yang memberikan penilaian untuk saat ini, temuan tentang analisis manajemen risiko teknologi informasi pada bagian Policy Service di PT. Asuransi Sinar Mas sebagai berikut:

Tabel 6. Kondisi Saat ini PT. Asuransi Sinar Mas

Domain Kondisi Saat Ini

APO 12.01 (Collect Data) APO12.01 adalah proses dokumentasi manajemen risiko IT yang ada di dalam organisasi PT. Asuransi Sinar Mas. Proses dokumentasi itu dilakukan dalam rangka, mencari tahu kondisi saat ini dalam analisis manajemen risiko. berdasarkan dalam menjalankan proses penerbitan policy pada organisasi PT. Asuransi Sinar Mas keseluruhan setiap risiko IT yang terjadi, dilakukan proses dokumentasi didalam Inbox pengajuan atau request HelpDesk ke IT. Hal ini diperkuat oleh hasil pengambillan data kuisioner mendapatkan nilai sebesar 4,11 bahwa terjadi dokumentasi di PT. Asuransi Sinar Mas. Sehingga dapat disimpulkan dalam proses collect data organisasi ini memiliki collect data yang dimaksud adalah pendokumentasian risiko risiko yang terjadi di organisasi yang bagus. Berdasarkan hasil wawancara dengan Kepala Departemen Divisi Policy Services, hasil untuk saat ini inbox untuk pengajuan atau request HelpDesk ke IT. Di pengajuan tersebut User dapat menginput jika mengalami kendala ataupun usulan. Apabila User ingin melaporkan kendala atau usulan, User memilih aplikasi yang dipakai lalu, dilanjutkan dengan nama PIC IT terkait dan akan otomatis muncul nama PIC IT yang menangani. Dari pengajuan akan masuk ke inbox

(10)

IT. Setelah perbaikan, IT akan menjawab request HelpDesk User. HelpDesk ini tidak hanya di Policy Service saja melainkan disemua User yang menggunakan aplikasi yang bersangkutan dengan IT.

APO12.02 (Analyse risk) APO12.02 adalah proses analisis manajemen risiko IT yang ada di dalam organisasi PT. Asuransi Sinar Mas. Proses analisis ini dilakukan dalam rangka fungsi kontrol yang dilakukan untuk mengurangi risiko IT. Berdasarkan dalam menjalankan proses penerbitan policy pada organisasi PT. Asuransi Sinar Mas keseluruhan setiap risiko IT yang terjadi, dapat diatasi dengan User Policy Service melaporkan langusng kepada team IT. Hal ini diperkuat oleh hasil pengambillan data kuisioner mendapatkan nilai sebesar 3,01 bahwa terjadi analisis risiko di PT. Asuransi Sinar Mas. Sehingga dapat disimpulkan dalam proses analyse risk. Organisasi ini memiliki Analyse Risk yang dimaksud adalah fungsi kontrol risiko yang terjadi di organisasi yang baik. Berdasarkan hasil wawancara dengan Kepala Departemen Policy Service, Beliau mengatakan setiap risiko yang terjadi dipastikan dapat diatasi dengan, User Policy Service terkait melaporkan langsung apa yang ditemukan dari kesalahan atau koreksi untuk team IT. Adapun fungsi kontrol untuk meminimalisir risiko yang ada, dari User terkait menginputkan pada HelpDesk atau e-mail yang ditunjukan kepada IT dan team terkait lainnya. Seperti User dapat melakukan koordinasi dengan Koordinator Policy Service untuk dapat menganalisa risiko.

APO12.03 (Maintain a risk profile)

APO12.03 adalah proses memelihara profil risiko IT yang ada di dalam organisasi PT. Asuransi Sinar Mas. Proses memelihara risiko dilakukan dalam rangka, mencari tahu kondisi saat ini dalam memelihara profil risiko. Berdasarkan dalam menjalankan proses penerbitan policy pada organisasi PT. Asuransi Sinar Mas keseluruhan dalam memelihara profil risiko yang terjadi, dilakukan proses merawat infrastuktur yang dimiliki sangat penting untuk menopang tujuan bisnis. Hal ini diperkuat oleh hasil pengambillan data kuisioner mendapatkan nilai sebesar 3,01 bahwa terjadi memelihara profil risiko di PT. Asuransi Sinar Mas. Sehingga dapat disimpulkan dalam proses Maintain a risk profile organisasi ini memiliki Maintain a risk profile yang dimaksud adalah memelihara profil risiko yang terjadi di organisasi yang baik. Kepala Departemen Policy Service mejelaskan infrastruktur yang dimiliki saat ini sangat penting untuk menopang tujuan bisnis. Infrastruktur selain perangkat PC yang dilakukan update secara berkala, Juga menyediakan akses by system langsung cek melalui web vendor pengiriman (PCP EXPRESS).

(11)

APO12.04 (Articulate risk) APO12.04 adalah proses mengartikulasikan risiko IT yang ada di dalam organisasi PT. Asuransi Sinar Mas. Proses mengartikulasikan risiko dilakukan dalam rangka, mencari tahu kondisi saat ini dalam mengartikulasikan risiko di organisasi. berdasarkan dalam menjalankan proses penerbitan policy pada organisasi PT. Asuransi Sinar Mas keseluruhan dalam mengartikulasi risiko yang terjadi, dilakukan proses pelaporan terhadap team IT dan divisi yang terkena dampak dalam gangguan teknis. Hal ini diperkuat oleh hasil pengambillan data kuisioner mendapatkan nilai sebesar 2,94 bahwa terjadi mengartikulasikan risiko di PT. Asuransi Sinar Mas. Sehingga dapat disimpulkan dalam proses Articulate Risk organisasi ini memiliki, Articulate Risk yang dimaksud adalah pelaporan kepada team IT dan divisi yang terkena dampak dalam gangguan teknis yang terjadi di organisasi yang cukup.

APO12.05 (Defined a risk management action portfolio)

APO12.05 adalah proses menentukan portofolio manajemen risiko yang ada di dalam organisasi PT. Asuransi Sinar Mas. Proses menentukan portofolio manajemen risiko dilakukan dalam rangka, mencari tahu kondisi saat ini dalam menentukan portofolio manajemen risiko di organisasi. Berdasarkan dalam menjalankan proses penerbitan policy pada organisasi PT. Asuransi Sinar Mas keseluruhan dalam meminimalisir risiko yang mungkin terjadi, dilakukan proses fungsi kontrol operasional. Hal ini diperkuat oleh hasil pengambillan data kuisioner mendapatkan nilai sebesar 3,52 bahwa terjadi fungsi kontrol pada divisi policy service di PT. Asuransi Sinar Mas. Sehingga dapat disimpulkan dalam proses Defined a risk management action portofolio organisasi ini memiliki, Defined a risk management action portofolio yang dimaksud adalah fungsi kontrol bentuk usasha meminimalisir risiko yang terjadi di organisasi yang baik. Berdasarkan hasil wawancara Kepala Departemen Policy Service menjelaskan fungsi kontrol operasional di Policy Service merupakan bentuk usaha mengelola dan meminimalisir risiko yang mungkin terjadi.

APO12.06 (Respond to risk) APO12.06 adalah proses respon terhadap risiko yang ada di dalam organisasi PT. Asuransi Sinar Mas. Proses respon terhadap risiko dilakukan dalam rangka, mencari tahu kondisi saat ini dalam merespon risiko yang terjadi di organisasi. Berdasarkan dalam menjalankan proses penerbitan policy pada organisasi PT. Asuransi Sinar Mas keseluruhan dalam merespon risiko yang mungkin terjadi, dilakukan proses diskusi menggunakan aplikasi Whatsapp Group dan email. Hal ini diperkuat oleh hasil pengambilan data kuisioner mendapatkan nilai sebesar 3,75 bahwa terjadi respon risiko pada divisi policy service

(12)

di PT. Asuransi Sinar Mas. Sehingga dapat disimpulkan dalam proses Respond to risk organisasi ini memiliki, Respond to risk yang dimaksud adalah respon dalam menyikapi risiko di organisasi yang baik. Berdasarkan hasil wawancara Kepala Departemen Policy Service menjelaskan bahwa untuk respon terhadap risiko, koordinator dengan team IT menggunkan Whatsapp Group BAS Policy Service yang berisi all user Policy Service dan all IT operasional, kemudian selain melalui aplikasi Whatsapp, juga menggukan e-mail, apabila terjadi koneksi Kantor Pusat putus atau kantor cabang putus, perusahaan sudah menyiapkan aplikasi backup yaitu aplikasi manulops.

MEA01 (Menaganalisis serta melaporkan kinerja)

Pada Subdomain ini, sudah mencapai level 3 (Defined Level) di PT. Asuransi Sinar Mas sendiri khususnya di divisi Policy Service sudah dilakukan pembagian report untuk produksi harian dan mendokumentasikan asset IT yang digunkan apa bila mengalami error saat digunakan karyawan dan Karyawan diberikan tanggung jawab untuk melaporkan, apabila masalah yang dihadapi ringan makan akan diperbaiki dahulu tanpa ada pengganti.

Adapun hasil identifikasi risiko beserta dampak yang dilakukan sebagai risk assessment dapat dilihat pada tabel dibawah ini.

(13)

4. KESIMPULAN

Berdasarkan hasil pembahasan analisis data yang sudah dilakukan, terkait analisis manajemen risiko teknologi informasi pada divisi Policy Service PT. Asuransi Sinar Mas, maka dapat diperoleh kesimpulan sebagai berikut, Proses analisis manajemen risiko teknologi informasi pada divisi Policy Service PT. Asuransi Sinar Mas menggunakan framework COBIT 5 khususnya Subdomain APO12 (Manage Risk) dan MEA01 (Monitor, evaluate and assess) menghasilkan nilai Capability Level untuk subdomain APO12.01 (Collect Data) berada pada level 4 yaitu Predictable Process, APO12.02 (Analyse Risk) berada pada level 3 yaitu Established Process, APO12.03 (Maintain a risk profile) berada pada level 2 yaitu Managed Process, APO12.04 (Articulate risk) berada pada level 3 yaitu Established Process, APO12.05 (Defined a risk management action portofolio) berada pada level 3 yaitu Established Process, APO12.06 (Respond to risk) berada pada level 3 yaitu Established Process. Sedangkan untuk Capability Level sub domain MEA01 berada pada level 3,78 yaitu Estabilished Process. Nilai Capability Level saat ini dengan Nilai Capability Level yang ingin dicapai untuk subdomain APO12 memiliki gap yang berbeda – beda sedangkan untuk MEA01 dengan besarnya gap yang terbentuk antara nilai di atas masing masing sebesar 1,42.

UCAPAN TERIMA KASIH

Penulis mengucapkan terima kasih kepada kepada Tuhan Yang Maha Esa karena atas penyertaan-Nya penulis dapat meneyelesaikan jurnal ini. Penulis juga mengucapkan terima kasih kepada keluarga dan teman-teman yang sudah memberikan dukungan penuh kepada penulis.

DAFTAR PUSTAKA

[1] Prof Dr Ir. Soemarmo M.S., 2019, Pengertian Risiko, http://library.binus.ac.id/eColls/eThesisdoc/Bab2HTML/2010100432mnbab2/page19.htm l, Diakses Tanggal 29 Juli 2020.

[2] Bramantyo, 2008, Pengertian Risiko,

http://library.binus.ac.id/eColls/eThesisdoc/Bab2HTML/2010100432mnbab2/page19.htm l, Diakses Tanggal 29 Juli 2020.

[3] Wiliam et.al, 1995, Pengertian Manajemen Risiko, https://bbs.binus.ac.id/business-creation/2020/04/definisi-manajemen-risiko/, Diakses Tanggal 29 Juli 2020.

[4] ISACA. 2012, COBIT 5 Enabling Processes, ISACA, Jakarta.

[5] Creswell, 2010:5, Pengertian Mix Methods, https://www.gurupendidikan.co.id/metode-penelitian-gabungan/

[6] Rini, Astuti. 2018. “Implementasi Manajemen Risiko Sistem Informasi Menggunakan Cobit 5”, Media Informatika Vol.17 No.1, Bandung.

(14)

[7] Suryono, Ryan Randy. 2018, Audit Tata Kelola Teknologi Informasi Menggunakan Framework Cobit 5, (Studi Kasus: Balai Besar Perikanan Budidaya Laut Lampung), Program Studi Sistem Informasi Universitas Teknokrat Indonesia.

[8] Prilly Peshaulia Thenu, dkk. 2019, Analisis Manajemen Risiko Teknologi Informasi Menggunakan COBIT 5 (Studi Kasus: PT Global Infotech), Jurnal Bina Komputer.

[9] Nurfitri Zukhrufatul Firdaus, dkk, 2018. Evaluasi Manajemen Risiko Teknologi Informasi Menggunakan COBIT 5 IT Risk (Studi Kasus: PT. Petrokimia Gresik), Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer.

[10] Widilianie Eka., Manuputty David Augie. 2019, “Evaluasi Kinerja Si Project Management Menggunakan Framework Cobit 5 Subdomain MEA 01”, Jurnal SITECH, Vol 2, No 1. Salatiga.